测试防火墙系统(5)

　　·仔细地扫描你的网络内的所有主机(包括防火墙系统)。检查你扫描的包是否被堵塞，从而确认你不能从中得到任何数据信息。尝试使用特定的‘认证端口’(如使用FTP的20端口)发送包去扫描各端口的存活情况，看看这样能不能脱离防火墙的规则限制。

　　·你可以把入侵测试系统安装在你的虚拟网络环境或现实网络环境中，帮助你了解与测试你的包过滤规则能否保护你的系统与网络对抗现有的攻击行为。要做到这样你将需要在基本的规划上运行这一类的工具并定期分析结果。当然，你可以将这一步的测试工作推迟到你完全地配置后整个新的防火墙系统之后。

　　·检查一下包过滤规则中日志选项参数，测试一下日志功能是否在所有网络通信中能像预期中工作。

　　·测试一下在所有网络通信中出现预定警报时是否有特定的通知信号目的者(如防火墙系统管理员)与特殊的行动(页面显示与EMAIL通知)。你不可以把测试路由功能的工作放在连接防火墙系统至你的外网接口之后[请查阅“9. Install the firewall

　　system.”(http://www.cert.org/security-improvement/practices/p061.html)与“10. Phase the firew-all system into operation.”(http://www.cert.org/security-improvement/practices/p063.html)]。最后，你应该先把新的防火墙系统安装在内网，并配置通过，然后再接上外网接口。为了降低最后阶段测试所带来的风险，管理员可以在内网连上少量的机器(主管理机器群与防火墙系统)，当测试通过后才逐步增加内网的机器数目。

　　“选定与测试日志文件的内容特征”

　　当日志文件出现存放空间不足时，你需要设置防火墙系统自行反应策略。下面有几种相关的选择:

　　·防火墙系统关闭所有相关的外网连接。

　　·继续工作，新日志复写入原最旧的日志空间中。

　　·继续工作，但不作任何日志记录。

　　第一个选择是最安全但又不允许使用在防火墙系统上的。你可以尝试一下模拟防火墙系统在日志空间被全部占用时的运行状态，看看能否到达你所选择的预期效果。

　　选择与测试适当的日志内容选项，这些选项包括:

　　·日志文件的路径(例如防火墙本地或远程机器的储存器)

　　·日志文件的存档时间段

　　·日志文件的清除时间段

　　“测试防火墙系统”